Restricciones y recomendaciones sobre la administración de cuentas

En la siguiente sección, se resumen algunas restricciones y recomendaciones que se deben tener en cuenta a la hora de administrar las cuentas de miembro en AWS Security Hub.

Número máximo de cuentas miembro

Si utilizas la integración con AWS Organizations, Security Hub admite hasta 10 000 cuentas de miembros por cuenta de administrador delegado en cada una Región de AWSde ellas. Si habilita y administra Security Hub manualmente, Security Hub admite hasta 1000 invitaciones de cuentas de miembros por cuenta de administrador en cada región.

Cuentas y regiones

Membresía por organización

Si integra Security Hub con AWS Organizations, la cuenta de administración de la organización puede designar una cuenta de administrador delegado (DA) para Security Hub. En Organizations, la cuenta de administración de la organización no se puede configurar como el administrador delegado. Si bien esto está permitido en Security Hub, recomendamos que la cuenta de administración de Organizations no sea el administrador delegado.

Le recomendamos que seleccione la misma cuenta de administrador delegado en todas las regiones. Si utiliza la configuración centralizada, Security Hub establece la misma cuenta de administrador delegado en todas las regiones en las que configure Security Hub para su organización.

También le recomendamos que elija la misma cuenta DA en todos los servicios de AWS seguridad y cumplimiento para ayudarle a gestionar los problemas relacionados con la seguridad desde un único panel de control.

Membresía por invitación

En el caso de las cuentas miembro creadas mediante invitación, la asociación de cuentas administrador-miembro se crea únicamente en la región desde la que se envía la invitación. La cuenta de administrador debe habilitar Security Hub en cada región en la que desee usarla. A continuación, la cuenta de administrador invita a cada cuenta a convertirse en cuenta de miembro en esa región.

Restricciones en las relaciones administrador-miembro

nota

Si utilizas la integración de Security Hub con AWS Organizationsuna cuenta de miembro y no has invitado manualmente a ninguna cuenta de miembro, esta sección no se aplica a ti.

Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo.

Una cuenta miembro solo se puede asociar con una cuenta de administrador. Si la cuenta de administrador de Security Hub habilita una cuenta de la organización, la cuenta no podrá aceptar una invitación de otra cuenta. Si una cuenta ya ha aceptado una invitación, la cuenta de administrador de Security Hub de la organización no podrá habilitarla para la organización. Tampoco puede recibir invitaciones de otras cuentas.

En el caso del proceso de invitación manual, aceptar una invitación para convertirse en miembro es opcional.

Coordinar cuentas de administrador en todos los servicios

Security Hub agrupa las conclusiones de varios AWS servicios, como Amazon GuardDuty, Amazon Inspector y Amazon Macie. Security Hub también permite a los usuarios pasar de un GuardDuty hallazgo a iniciar una investigación en Amazon Detective.

Sin embargo, las relaciones administrador-miembro que se configuran en estos otros servicios no se aplican automáticamente a Security Hub. Security Hub recomienda utilizar la misma cuenta que la cuenta de administrador para todos estos servicios. Esta cuenta de administrador debe ser una cuenta responsable de las herramientas de seguridad. La misma cuenta también debe ser la cuenta de agregador de AWS Config.

Por ejemplo, un usuario de la cuenta de GuardDuty administrador A puede ver los resultados de las cuentas de GuardDuty los miembros B y C en la GuardDuty consola. Si la cuenta A activa Security Hub, los usuarios de la cuenta A no ven automáticamente GuardDuty los resultados de las cuentas B y C en Security Hub. También se requiere una relación administrador-miembro de Security Hub para estas cuentas.

Para ello, convierta la cuenta A en la cuenta de administrador de Security Hub y habilite las cuentas B y C para que se conviertan en cuentas miembro de Security Hub.